本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon ECS 受管執行個體執行個體設定檔
執行個體設定檔是 IAM 容器,只擁有一個 IAM 角色,並允許 Amazon ECS 受管執行個體安全地擔任該角色。執行個體設定檔包含執行個體角色,ECS 代理程式會擔任此角色來向叢集註冊執行個體,並與 ECS 服務通訊。
重要
如果您使用 Amazon ECS AWS受管執行個體搭配 受管基礎設施政策,執行個體描述檔必須命名為 ecsInstanceRole。如果您使用基礎結構角色的自訂政策,執行個體設定檔可以採用不同名稱。
使用信任政策建立角色
將所有 user input 取代為自己的資訊。
-
建立名為
ecsInstanceRole-trust-policy.json的檔案,其中包含用於 IAM 角色的信任政策。檔案應包含以下內容: -
使用以下 AWS CLI 命令,
ecsInstanceRole使用您在上一個步驟中建立的信任政策來建立名為 的角色。aws iam create-role \ --role-name ecsInstanceRole \ --assume-role-policy-document file://ecsInstanceRole-trust-policy.json -
將 AWS 受管
AmazonECSInstanceRolePolicyForManagedInstances政策連接至ecsInstanceRole角色。aws iam attach-role-policy \ --role-name ecsInstanceRole \ --policy-arn arn:aws:iam::aws:policy/AmazonECSInstanceRolePolicyForManagedInstances注意
如果您選擇套用最低權限許可,並改為指定自己的許可,您可以新增下列許可,以協助疑難排解 Amazon ECS 受管執行個體的任務相關問題:
ecs:StartTelemetrySessionecs:PutSystemLogEvents
您也可以透過 IAM 主控台的自訂信任政策工作流程來建立角色。如需詳細資訊,請參閱 IAM User Guide 中的 Creating a role using custom trust policies (console)。
建立檔案之後,您必須授予使用者將角色傳遞至 Amazon ECS 的許可。
使用 建立執行個體描述檔 AWS CLI
建立角色之後,請使用 AWS CLI建立執行個體設定檔:
aws iam create-instance-profile --instance-profile-name ecsInstanceRole
將角色新增至執行個體設定檔:
aws iam add-role-to-instance-profile \ --instance-profile-name ecsInstanceRole \ --role-name ecsInstanceRole
驗證設定檔是否建立成功:
aws iam get-instance-profile --instance-profile-name ecsInstanceRole
